Jak działa uwierzytelnianie Kerberos?

Kerberos, choć działa w tle, jest tak dobrze zintegrowany, że większość użytkowników oraz administratorów nie zwraca uwagi na jego obecność.

Czym jest Kerberos i jak funkcjonuje?

Jeśli korzystasz z poczty elektronicznej lub innych serwisów online, które wymagają logowania w celu uzyskania dostępu do zasobów, najprawdopodobniej twoje uwierzytelnianie odbywa się za pośrednictwem systemu Kerberos.

Kerberos to bezpieczny mechanizm autentykacji, który zapewnia ochronę komunikacji pomiędzy różnymi urządzeniami, systemami i sieciami. Jego kluczowym celem jest zabezpieczenie twoich danych oraz informacji logowania przed dostępem osób niepowołanych.

Protokół Kerberos jest wspierany przez wszystkie popularne systemy operacyjne, w tym Microsoft Windows, Apple macOS, FreeBSD oraz różne dystrybucje Linux.

Pięciopoziomowy model zabezpieczeń Kerberos wykorzystuje wzajemne uwierzytelnianie i kryptografię symetryczną. Dzięki weryfikacji tożsamości, autoryzowani użytkownicy mogą uzyskać dostęp do systemu.

Łącząc centralną bazę danych z szyfrowaniem, Kerberos potwierdza autentyczność zarówno użytkowników, jak i usług. Serwer Kerberos najpierw weryfikuje tożsamość użytkownika, a dopiero potem umożliwia dostęp do usługi. W przypadku pomyślnego uwierzytelnienia użytkownik otrzymuje bilet, który umożliwia mu dostęp do żądanej usługi.

Zasadniczo, Kerberos opiera swoje działanie na „biletach”, które umożliwiają użytkownikom bezpieczną komunikację. Protokół ten wykorzystuje Centrum Dystrybucji Kluczy (KDC) do pośredniczenia w komunikacji między klientami a serwerami.

W procesie wykorzystania protokołu Kerberos, klient wysyła żądanie do serwera. Serwer w odpowiedzi przesyła token. Następnie klient przesyła do serwera żądanie oraz bilet.

Kerberos jest niezwykle istotny dla zagwarantowania bezpieczeństwa danych przesyłanych między systemami. Został opracowany w latach 80. przez Massachusetts Institute of Technology (MIT) jako rozwiązanie problemu niezabezpieczonych połączeń sieciowych. Obecnie jest wykorzystywany w wielu różnorodnych systemach.

W dalszej części artykułu przeanalizujemy korzyści płynące z używania protokołu Kerberos, jego praktyczne zastosowania, mechanizm działania krok po kroku oraz aspekty związane z jego bezpieczeństwem.

Zalety uwierzytelniania Kerberos

W rozległych, rozproszonych środowiskach obliczeniowych, protokół uwierzytelniania sieciowego Kerberos umożliwia komputerom bezpieczną identyfikację i komunikację.

Dzięki wykorzystaniu kryptografii klucza tajnego, Kerberos zapewnia solidne uwierzytelnianie dla aplikacji działających w modelu klient-serwer. Protokół ten stanowi fundament bezpieczeństwa aplikacji, a szyfrowanie SSL/TLS jest często stosowane jako jego uzupełnienie.

Kerberos, jako powszechnie stosowany protokół uwierzytelniania, oferuje szereg zalet, które mogą być atrakcyjne zarówno dla mniejszych, jak i większych organizacji.

Przede wszystkim Kerberos cechuje się wysoką niezawodnością; został poddany testom odporności na zaawansowane ataki i udowodnił swoją skuteczność. Dodatkowo, konfiguracja, użytkowanie i integracja z różnymi systemami są stosunkowo proste.

Unikalne zalety:

• Wyjątkowy system biletowy Kerberos pozwala na szybsze uwierzytelnianie.
• Zarówno usługi, jak i klienci mogą wzajemnie potwierdzać swoją tożsamość.
• Okres uwierzytelnienia jest szczególnie bezpieczny dzięki zastosowaniu limitowanego znacznika czasu.
• Spełnia wymogi współczesnych systemów rozproszonych.
• Możliwość wielokrotnego wykorzystania – jeśli znacznik czasu biletu jest ważny, uwierzytelnianie zapobiega konieczności ponownego wprowadzania danych logowania przy próbie dostępu do innych zasobów.
• Wielokrotne klucze tajne, autoryzacja trzeciej strony i kryptografia zapewniają wysoki poziom bezpieczeństwa.

Jak bardzo bezpieczny jest Kerberos?

Wiemy już, że Kerberos wykorzystuje bezpieczny proces uwierzytelniania. W tej sekcji omówimy, w jaki sposób atakujący mogą próbować naruszyć zabezpieczenia Kerberos.

Kerberos jest stosowany jako bezpieczny protokół już od wielu lat. Microsoft Windows, począwszy od wersji 2000, uczynił Kerberos standardowym mechanizmem uwierzytelniania.

Usługa uwierzytelniania Kerberos, wykorzystując szyfrowanie kluczem tajnym, kryptografię oraz zaufane uwierzytelnianie innych podmiotów, zapewnia skuteczną ochronę poufnych danych podczas ich przesyłania.

Aby jeszcze bardziej podnieść poziom bezpieczeństwa, Kerberos w wersji 5, czyli najnowszej, używa Advanced Encryption Standard (AES), co ma na celu zapewnienie bezpieczniejszej komunikacji i uniemożliwienie nieuprawnionego dostępu do danych.

Rząd Stanów Zjednoczonych wdrożył AES, ponieważ jest to algorytm szczególnie skuteczny w ochronie tajnych informacji.

Jednakże należy pamiętać, że żadna platforma nie jest w pełni bezpieczna, a Kerberos nie stanowi tutaj wyjątku. Pomimo że Kerberos jest uważany za bardzo bezpieczne rozwiązanie, firmy powinny stale monitorować potencjalne punkty ataku, aby chronić się przed działaniami hakerów.

Ze względu na szerokie zastosowanie tego protokołu, hakerzy stale szukają luk w zabezpieczeniach infrastruktury.

Poniżej znajduje się kilka typowych ataków, które mogą wystąpić:

• Atak Złotym Biletem: Jest to atak o potencjalnie największych konsekwencjach. W jego trakcie, atakujący, za pomocą biletów Kerberos, przechwytują usługę dystrybucji kluczy legalnego użytkownika. Atak ten jest najczęściej kierowany przeciw środowiskom Windows z Active Directory (AD) w celu uzyskania uprawnień dostępu.
• Atak Srebrnym Biletem: Sfałszowany bilet uwierzytelniania usługi nosi nazwę srebrnego biletu. Haker, rozszyfrowując hasło do konta komputera, może wyprodukować Srebrny Bilet, wykorzystując go następnie do utworzenia fałszywego biletu uwierzytelniającego.
• Przekazanie biletu: Generując fałszywy bilet TGT, atakujący konstruuje nieprawdziwy klucz sesji i prezentuje go jako legalne dane uwierzytelniające.
• Przekazanie skrótu: Ta metoda polega na zdobyciu skrótu hasła NTLM użytkownika, a następnie na przesłaniu skrótu w celu uwierzytelnienia NTLM.
• Kerberoasting: Atak ma na celu zebranie skrótów haseł dla kont użytkowników usługi Active Directory z wartościami servicePrincipalName (SPN), na przykład kont usług, poprzez nadużycie protokołu Kerberos.

Łagodzenie ryzyka związanego z Kerberos

Poniższe środki mogą pomóc w zapobieganiu atakom na Kerberos:

• Wdrażaj nowoczesne oprogramowanie do monitorowania sieci w trybie ciągłym, pozwalające na identyfikację potencjalnych słabych punktów w czasie rzeczywistym.
• Stosuj zasadę minimalnych uprawnień: tylko użytkownicy, konta i procesy komputerowe powinny mieć uprawnienia dostępu niezbędne do wykonywania ich zadań. W ten sposób zostanie zablokowany nieautoryzowany dostęp do serwerów, zwłaszcza serwera KDC i innych kontrolerów domeny.
• Regularnie aktualizuj oprogramowanie, aby załatać luki, w tym te typu zero-day.
• Uruchom tryb chroniony usługi LSASS: LSASS (Local Security Authority Subsystem Service) obsługuje różne wtyczki, w tym uwierzytelnianie NTLM i Kerberos, i jest odpowiedzialny za zapewnienie użytkownikom mechanizmu jednokrotnego logowania.
• Wzmocnij uwierzytelnianie: Ustal standardy tworzenia silnych haseł dla kont administracyjnych, lokalnych i usługowych.
• Chroń się przed atakami typu DOS (Denial of Service): Przeciążając KDC żądaniami uwierzytelnienia, atakujący mogą przeprowadzić atak typu „odmowa usługi” (DoS). Aby zapobiec atakom i rozłożyć obciążenie, KDC należy umieścić za zaporą ogniową i wdrożyć dodatkowe mechanizmy redundancji KDC.

Jakie są etapy przepływu protokołu Kerberos?

Architektura Kerberos składa się z czterech głównych elementów, które obsługują wszystkie operacje w ramach tego protokołu:

• Serwer Uwierzytelniania (AS): Proces uwierzytelniania Kerberos rozpoczyna się od serwera AS. Klient, w celu potwierdzenia swojej tożsamości, musi zalogować się do AS, podając swoją nazwę użytkownika i hasło. Po udanym procesie AS przesyła nazwę użytkownika do KDC, które wystawia bilet TGT.
• Centrum Dystrybucji Kluczy (KDC): Jego zadaniem jest pośredniczenie między serwerem uwierzytelniającym (AS) a usługą przyznawania biletów (TGS). KDC przekazuje komunikaty z AS i wydaje bilety TGT, które są następnie przekazywane do TGS w celu ich zaszyfrowania.
• Bilet Przyznający Bilet (TGT): TGT jest szyfrowany i zawiera informacje o usługach, do których klient może uzyskać dostęp, czasie ważności tego dostępu oraz klucz sesji potrzebny do komunikacji.
• Usługa Przyznawania Biletów (TGS): TGS stanowi element pośredniczący między klientami posiadającymi bilety TGT a różnymi usługami sieciowymi. Po uwierzytelnieniu biletu TGT, TGS ustanawia klucz sesji współdzielony przez serwer i klienta.

Poniżej znajduje się szczegółowy opis kroków w procesie uwierzytelniania Kerberos:

• Logowanie użytkownika.
• Klient wysyła żądanie do serwera odpowiedzialnego za przyznawanie biletów.
• Serwer weryfikuje nazwę użytkownika.
• Serwer odsyła bilet do klienta po jego przyznaniu.
• Klient uzyskuje klucz sesji TGS.
• Klient wysyła prośbę do serwera o dostęp do usługi.
• Serwer weryfikuje usługę.
• Serwer uzyskuje klucz sesji TGS.
• Serwer tworzy klucz sesji dla usługi.
• Klient otrzymuje klucz sesji usługi.
• Klient kontaktuje się z usługą.
• Usługa odszyfrowuje otrzymane dane.
• Usługa weryfikuje żądanie.
• Usługa jest uwierzytelniana dla klienta.
• Klient potwierdza usługę.
• Klient i usługa wchodzą w interakcję.

Jakie są rzeczywiste zastosowania protokołu Kerberos?

W dzisiejszym świecie, gdzie praca online i połączenia sieciowe są standardem, Kerberos okazuje się niezwykle cennym rozwiązaniem, szczególnie w kontekście jednokrotnego logowania (SSO).

Obecnie Microsoft Windows stosuje uwierzytelnianie Kerberos jako swoją standardową metodę autoryzacji. Ponadto protokół Kerberos jest również obsługiwany przez systemy Apple OS, FreeBSD, UNIX oraz Linux.

Ponadto Kerberos stał się standardem dla stron internetowych oraz aplikacji działających w oparciu o jednokrotne logowanie na wszystkich platformach. Zwiększył on bezpieczeństwo internetu i jego użytkowników, pozwalając im na wykonywanie różnorodnych zadań online oraz w biurze bez obaw o bezpieczeństwo.

Kerberos, będący integralną częścią infrastruktury IT, jest wbudowany w popularne systemy operacyjne oraz oprogramowanie. Jest to standardowa technologia autoryzacji dla Microsoft Windows.

Wykorzystując zaawansowaną kryptografię i autoryzację biletów trzeciej strony, utrudnia hakerom dostęp do sieci firmowej. Firmy, korzystając z protokołu Kerberos, mogą swobodnie korzystać z internetu, nie martwiąc się o swoje bezpieczeństwo.

Najbardziej znanym zastosowaniem Kerberos jest Microsoft Active Directory, które kontroluje domeny i przeprowadza uwierzytelnianie użytkowników jako standardowa usługa katalogowa obecna w systemach Windows 2000 i nowszych.

Do grona znaczących użytkowników należą między innymi Apple, NASA, Google, Departament Obrony USA oraz liczne instytucje na całym świecie.

Poniżej znajduje się kilka przykładów systemów, które posiadają wbudowaną obsługę protokołu Kerberos lub oferują taką możliwość:

• Amazon Web Services
• Google Cloud
• Hewlett Packard Unix
• IBM Advanced Interactive Executive
• Microsoft Azure
• Microsoft Windows Server i AD
• Oracle Solaris
• OpenBSD

Dodatkowe zasoby

Podsumowanie

Kerberos to najczęściej stosowana metoda uwierzytelniania, służąca do zabezpieczania połączeń między klientem a serwerem. Jest to mechanizm uwierzytelniania wykorzystujący klucz symetryczny, zapewniający integralność danych, poufność oraz wzajemne uwierzytelnianie użytkowników.

Stanowi on fundament Microsoft Active Directory i jest jednym z protokołów, które stanowią cel ataków.

Zachęcamy do zapoznania się z narzędziami do monitorowania stanu Active Directory.